Development
Individuelle Softwareentwicklung

Technologieberatung

Softwarearchitektur

Datenmigration

Application Service

Webanwendung - Portale

Empfangsmonitor - Digital Desk

m.a.x.imum
Softwareentwicklung

„So-oft-wäre“ man ohne einen Software-Lotsen orientierungslos. Wir lotsen Sie erfolgreich durch die Software-Entwicklungslandschaft, geben Orientierung und entwickeln für Sie unternehmensspezifische, skalierbare Softwarelösungen auf sicheren Wegen.
IT-Services
Cloud Lösungen

Private Cloud

Public Cloud

Microsoft 365

Cloud Backup

Managed Services

Proxmox Virtualisierung

Digitaler Arbeitsplatz

Virenschutz

Managed Server

Managed Platform

Managed Firewall

Managed SIEM

Cybersecurity

OPNsense

SIEM Open Source

Vulnerability Scan

Standortvernetzung

Security Awareness Schulungen

IT-Consulting

Linux

Microsoft Windows

Interims IT Management

Cloud-Lösungen

Cybersecurity

m.a.x.imum
IT-Services

Eine stabil funktionierende IT-Infrastruktur ist das Fundament eines jeden Unternehmens. Dynamische und maßgeschneiderte IT-Services und IT-Betreuung sorgen dafür, dass man sich auf das eigene Kerngeschäft konzentrieren kann.
Broadcast
Programm- und Sendeplanung

Schemaplanung

Sendeleistungsplan

Contentpool

Programmplanung

Pressemodul

VoD-Planung

Trailerplanung

Sendefeinplanung

GfK-Anbindung

Materiallogistik

PlanX Produktfamilie

m.a.x.imum
Broadcast

Eine flexible Programm- und Sendeplanung, die geprägt ist von Aktualität, Attraktivität und Anwendernutzen, bietet zahlreiche Mehrwerte für Sendeanstalten.
Unternehmen
Karriere

Stellenangebote

Ausbildung

Partner

Firmenziele

News

m.a.x.imum Services, Software und Broadcast von Ihrem IT-Systemhaus in München
Kontakt

Neue Wazuh-Regeln und -Decoder für ntopng veröffentlicht

Michael Münz
13. Mai 2025

Wir bei m.a.x. it freuen uns, ein neues Open-Source-Projekt mit der Community zu teilen: Regeln und Decoder für die Integration von ntopng in Wazuh! Diese Erweiterungen erleichtern es, Netzwerkereignisse aus ntopng direkt in die leistungsstarke SIEM-Plattform Wazuh zu integrieren – für mehr Transparenz, bessere Alarmierung und effektivere Bedrohungserkennung.

Warum ntopng mit Wazuh kombinieren?

ntopng ist ein bekanntes Open-Source-Netzwerk-Monitoring-Tool, das umfassende Einblicke in Netzwerkverkehr, Bandbreitennutzung und potenziell verdächtige Aktivitäten liefert. Wazuh wiederum ist eine leistungsstarke SIEM-Plattform, die Funktionen wie Log-Management, Intrusion Detection, Vulnerability Scanning und Compliance-Monitoring bietet.

Durch die Kombination beider Tools lassen sich sicherheitsrelevante Netzwerkereignisse aus ntopng zentral erfassen, analysieren und automatisiert auswerten – etwa bei Portscans, ungewöhnlichen Zugriffsmustern oder Geo-basierten Anomalien.

Was haben wir entwickelt?

Wir haben Decoder und Regeln entwickelt, um ntopng-Logs sauber in Wazuh zu verarbeiten. Diese gibt es sowohl für das einfache Text-Format der ntopng Community Edition als auch für das erweiterte ECS-Format der Pro Edition. Damit werden relevante Felder extrahiert und in Wazuh logisch aufbereitet, um beispielsweise Angreifer-IP-Adressen, Geolokalisierung oder Scanmuster sichtbar zu machen.

Die Pakete sind öffentlich verfügbar auf GitHub:

Regeln (Text):
https://raw.githubusercontent.com/maxitdev/wazuh-ntopng/refs/heads/main/rules/ntopng_text_rules.xml
Regeln (ECS):
https://raw.githubusercontent.com/maxitdev/wazuh-ntopng/refs/heads/main/rules/ntopng_ecs_rules.xml
Decoder (Text):
https://raw.githubusercontent.com/maxitdev/wazuh-ntopng/refs/heads/main/decoders/ntopng_text_decoder.xml
Decoder (JSON):
https://raw.githubusercontent.com/maxitdev/wazuh-ntopng/refs/heads/main/decoders/ntopng_json_decoder.xml

Installation in wenigen Schritten

Per SSH auf die Wazuh-Instanz verbinden.
Die entsprechenden Dateien mit wget herunterladen.
Nach dem Download den Wazuh-Dienst neustarten:
/var/ossec/bin/wazuh-control restart

Eine vollständige Anleitung inkl. Pfadangaben findet sich in unserer Präsentation.

Was kommt als Nächstes?

Die Entwicklung steht nicht still! Wir rufen die Community auf, aktiv mitzuarbeiten:

Testet die Regeln in euren Umgebungen.
Reicht Pull Requests ein, um weitere Logformate zu unterstützen.
Helft dabei, noch mehr Informationen aus ntopng-Logs herauszuholen.

Unser Ziel ist es, sichtbare und verständliche Security-Informationen aus Netzwerkdaten zu machen – effizient, zuverlässig und Open Source. Das Repo findet ihr hier:

https://github.com/mimugmail/wazuh-ntop

Haben Sie Fragen oder möchten mehr erfahren? Nutzen Sie unser Kontaktformular – wir freuen uns auf Ihre Nachricht!

Ihre m.a.x. it

Beitrag teilen auf

Über den Autor

Michael Münz

michael.muenz@max-it.de

Entdecken Sie mehr

Central Management Plugin 2.8 für OPNsense bringt bedeutende Verbesserungen für die zentrale Verwaltung von Firewalls

OPNsense 25.1: Wichtige Neuerungen für Ihr Netzwerkmanagement

OPNsense Plugin: Effizientes Firewall Management mit Central Management 2.7 kostenlos testen

Sie suchen nach 30 Jahren IT-Erfahrung?
Starten Sie durch!

Anmeldung zum
Newsletter

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.

Ihre Anmeldung war erfolgreich.

Melden Sie sich zu unseren IT-Services Newslettern an, um zu wichtigen Themen auf dem Laufenden zu bleiben.

Geben Sie Ihre E-Mail-Adresse ein, um sich anzumelden

Geben Sie bitte Ihre E-Mail-Adresse für die Anmeldung an, z. B. abc@xyz.com.

Herr

Frau

Andere

Passen Sie diesen optionalen Hilfetext an, bevor Sie Ihr Formular veröffentlichen.

Wählen Sie die Themen aus, für die Sie sich anmelden möchten.

IT-Security Alert

IT-Services News

Sie können sich bei mehreren Listen anmelden.

Ich möchte Ihren Newsletter erhalten und akzeptiere die Datenschutzerklärung.

Sie können den Newsletter jederzeit über den Link in unserem Newsletter abbestellen.

* Pflichtfelder